Stappenplan digitale beveiliging
INHOUD
INLEIDING Mkb steeds vaker doelwit
3
1.
ZO BEVEILIGT U UW BEDRIJFSGEGEVENS Maak een risicoanalyse Kies de juiste beveiligingsoplossing Voorlichting aan medewerkers
4
2.
BENT U GEHACKT? HERKEN DE EERSTE TEKENEN Verdachte telefoontjes, e-mails en usb-sticks Ongewone activiteit in logbestanden Problemen met accounts Problemen met servers en/of capaciteit
5
3.
10 STAPPEN DIE U MOET ZETTEN NA EEN HACK Aangifte en meldplicht
6
4.
GEVOLGEN VAN HACKING Financiële schade Imagoschade Identiteitsdiefstal Diefstal van data
8
5.
BEGRIPPENLIJST
9
COLOFON
10
OVER DE ZAAK
11
2
Stappenplan digitale beveiliging
INLEIDING
Mkb steeds vaker doelwit cybercriminelen Wereldwijd verschijnen er 30 nieuwe malware programma's per seconde (bron: Symantec). Daarnaast neemt het aantal database-inbraken toe, terwijl onderzoek van Digibewust aangeeft dat één op de 10 Nederlanders wel eens is gehackt. In tegenstelling tot wat vaak wordt aangenomen, blijkt dat het mkb wel degelijk interessant is voor hackers. Sterker nog, het mkb is zelfs steeds vaker doelwit. De cijfers wijzen uit dat het daarbij niet zozeer gaat om de grootte van bedrijven, maar vooral om een zo groot mogelijk aantal slachtoffers. Cybercriminelen gaan voor volume, in plaats van kwaliteit. Hoewel de wetgeving op het gebied van cybersecurity nog altijd wordt aangescherpt, biedt dat geen garantie dat u verlost bent van schadelijke software. Kortom, alle reden om de beveiliging van het computernetwerk van uw bedrijf eens kritisch tegen het licht te houden. Daarbij zult u, net als in de fysieke wereld, bepaalde maatregelen moeten nemen om te voorkomen dat uw bedrijfsgegevens worden gestolen. Dit document biedt u een handleiding voor het optimaliseren van de beveiliging van uw computersysteem en netwerk. Het heeft echter niet de pretentie dé allesomvattende oplossing te bieden waarmee u uw veiligheidsproblemen in een keer oplost.
3
Stappenplan digitale beveiliging
1. ZO BEVEILIGT U UW BEDRIJFSGEGEVENS I. Maak een risicoanalyse Maak, in samenwerking met een ervaren online beveiligingsspecialist, een risico-analyse: •
Welke onderdelen van uw bedrijfsvoering vormen een potentieel risico op ICT-gebied? Denk aan desktops, laptops, smartphones en tablets, e-mail, internettoegang, databases?
•
Waar 'staat' belangrijke bedrijfsinformatie? Is die informatie goed beveiligd? Laat de huidige beveiliging testen door een specialist.
•
Welke software kan de risicovolle onderdelen optimaal beveiligen? Kijk, in plaats van alleen 'losse' producten, ook naar geïntegreerde oplossingen. Die zijn vaak voordeliger, overzichtelijker en veiliger. Vraag offertes aan en nodig de beste drie uit voor een demo.
II. Kies de juiste beveiliging Kies voor een beveiligingsproduct dat goed bij het bedrijf past én overzichtelijke en begrijpelijke rapportages geeft. Vergelijk verschillende producten en betrek een specialist bij de uiteindelijke keuze. Evalueer regelmatig de gekozen beveiligingsoplossing: past die nog wel bij de huidige én de toekomstige situatie? Vergeet ook niet om een goede verzekering af te sluiten, die eventuele computervredebreuk dekt.
III. Voorlichting aan medewerkers •
Licht medewerkers voor over potentiële risico's van bijvoorbeeld (eigen) laptops, smartphones en tablets die ze voor het werk gebruiken.
•
Overweeg de aanschaf van een beveiligingsproduct voor mobiele apparaten waarmee bijvoorbeeld een verloren of gestolen laptop of smartphone op afstand buiten werking gesteld kan worden.
•
Maak medewerkers duidelijk dat het 'zomaar' klikken op links in e-mails risicovol is. Bespreek de gevaren van social engineering (zie begrippenlijst).
•
Zorg dat uw medewerkers regelmatig hun wachtwoorden moeten wijzigen en stimuleer het gebruik van sterke wachtwoorden.
Kortom: zorg voor een helder internet- en e-mailbeleid.
4
Stappenplan digitale beveiliging
2. BENT U GEHACKT? HERKEN DE EERSTE TEKENEN Onderstaande situaties kunnen een signaal zijn dat uw systeem gecompromitteerd is, of dat een hacker probeert toe te slaan.
I. Verdachte telefoontjes, e-mails en usb-sticks Hackers richten zich vaak op de zwakste schakel in de beveiliging: de mens. Ze proberen iemands vertrouwen te winnen, in de hoop dat diegene zich dan niet aan de normale veiligheidsprocedures houdt en gevoelige gegevens prijsgeeft. Dit kan bijvoorbeeld via een telefoontje ("Hoi, ik ben Joost van IT. Ik heb gehoord dat je computer traag is. Ik wil je graag helpen, maar dan heb ik wel even je gebruikersnaam en wachtwoord nodig.") of een e-mail. Maar het kan ook gaan om een usb-stick die "toevallig" op de balie ligt en spyware of een Trojan bevat.
II. Ongewone activiteit in logbestanden Het goed interpreteren van logbestanden kan een zware, specialistische taak zijn. Een firewall en antivirus-software met intelligente monitoring kan daarbij veel werk schelen. De beheerder krijgt dan bericht bij verdacht gedrag of patronen.
III. Problemen met accounts Wanneer een gebruiker verschillende keren niet op normale wijze kan inloggen op een account, dan kan dat betekenen dat iemand anders heeft geprobeerd in te loggen. Tevens wordt er, op bijvoorbeeld phishing-pagina's, een nep-inlogvenster gebruikt dat doorlinkt naar een legitieme website. Of er komt een melding dat de inloggegevens onjuist zijn, waarna ze opnieuw ingevoerd worden. De cybercrimineel krijgt zo toegang tot deze gegevens.
IV. Problemen met servers en/of capaciteit Een DdoS-aanval (Distributed Denial of Service) houdt in dat er zeer veel dataverkeer wordt gegenereerd om een server offline te halen. Hiervoor circuleren verschillende tools, die bijvoorbeeld proberen een website meerdere keren in te laden. Dit gebeurt dan zo massaal, dat de machine daarachter het niet meer aan kan. In sommige gevallen geeft dit extra aanvalsmogelijkheden (vectoren, zie begrippenlijst), door misbruik te maken van crashende applicaties.
5
Stappenplan digitale beveiliging
3. 10 STAPPEN DIE U MOET ZETTEN NA EEN HACK Is uw bedrijf gehackt, of is er een vermoeden dat dit is gebeurd? Schakel dan zo snel mogelijk een online beveiligingsspecialist in. Schakel het gehele bedrijfsnetwerk, ook internet en wifi, volledig uit. Heeft u tools nodig om de infectie op te lossen, haal die dan binnen via een computer die niet met uw netwerk is verbonden.
Stap 1: Reageer snel en doe aangifte Een snelle reactie kan reputatieschade enorm beperken. Huur, als u deze kennis niet zelf in huis hebt, een gespecialiseerd bedrijf in om uw computersysteem te laten onderzoeken. Doe tevens aangifte (zie onder) van computervredebreuk, internetoplichting of fraude.
Stap 2: Noteer wat u doet, denk aan mogelijke juridische gevolgen Het is niet ondenkbaar dat andere partijen juridische stappen nemen tegen uw organisatie. Om een goede verdediging op te bouwen, is het belangrijk dat u kunt aantonen welke keuzes u heeft gemaakt en op basis van welke gegevens.
Stap 3: Stel uw netwerk veilig Voorkom dat de hack zich verder uitbreidt, of dat waardevolle gegevens alsnog gekaapt kunnen worden van uw netwerk. Zorg dat openstaande verbindingen naar andere kantoren of thuiswerkers, zo snel mogelijk worden afgesloten. De omvang van de hack of virusuitbraak blijft daardoor onder controle.
Stap 4: Professionele, eenduidige communicatie Zodra de pers hoort over de inbraak, gaat ze op zoek naar een verhaal. Zorg dat u dat voor die tijd al klaar hebt, en dat uw informatie naar de pers toe eenduidig is.
Stap 5: Bepaal de omvang van de inbraak Wat is de omvang van de gegevensinbraak? Zet dat op een rij. Welke systemen zijn gecomprommiteerd, welke gegevens zijn gelekt en identificeer de herkomst. Het motief van de hacker(s) is hierbij zeker van belang.
6
Stappenplan digitale beveiliging
Stap 6: Informeer stakeholders Informeer snel alle stakeholders, eventueel via de pers. Een tekst op uw site of een mail naar uw klanten is soms al voldoende. Hou het kort, bondig en eenduidig. Rectificatie is onwenselijk, dat maakt het lastig om te begrijpen wat er aan de hand is. Uw betrouwbaarheid is geschaad, zorg dat uw verhaal betrouwbaar is en blijft!
Stap 7: Voldoe aan eventuele meldplichten De Nederlandse wetgeving kent verschillende meldplichten in het geval van een hack. Zorg dat u altijd melding doet bij de juiste instanties. Laat u eventueel door een jurist adviseren: bij welke instanties u verplicht bent om melding te doen van de gegevensinbraak?
Stap 8: Vervang alle wachtwoorden Deze stap lijkt vanzelfsprekend, maar wordt nog wel eens vergeten. Vervang ál uw wachtwoorden! Dus niet alleen die van uw gebruikers, maar ook van serviceaccounts en beheeraccounts.
Stap 9: Vervang certificaten Als een hacker uw certificaten in handen heeft gekregen kan hij hiermee uw gegevens aftappen, ook al lijken deze veilig. Dit geldt zeker als u een webshop heeft! Zorg er tevens voor dat uw oude certificaten als onbetrouwbaar worden aangemerkt bij uw certificaatverlener.
Stap 10: Evalueer Evalueer wat er is gebeurd. Pas uw beleid aan waar het tekort is geschoten. Verhoog uw beveiligingsniveau en verlaag de kans op toekomstige hacks. Laat daarna uw netwerk testen door een gespecialiseerde organisatie, zodat u de veiligheid van uw informatie kunt waarborgen.
Aangifte en meldplicht Computervredebreuk, de juridische term voor hacken, is strafbaar volgens het Wetboek van Strafrecht. Hiervan kunt u aangifte doen bij de politie, bijvoorbeeld via Mijn Politie. Er is sprake van computervredebreuk wanneer iemand opzettelijk en zonder toestemming binnendringt in het computersysteem of netwerk van een ander. Kijk hier voor meer informatie. Bent u een aanbieder van een informatiedienst, dan moet u diefstal, verlies of misbruik van gegevens melden. Meer info op de website van het College Bescherming Persoonsgegevens.
7
Stappenplan digitale beveiliging
4. GEVOLGEN VAN HACKING Hackers dringen computers binnen om te stelen of om andere illegale zaken te verrichten. De hacker wil wachtwoorden van de eigenaar van de computer te weten komen en toegang krijgen tot bijvoorbeeld bankaccounts, inlognamen en wachtwoorden van documenten waarin belangrijke bedrijfs- of klantinformatie staat. Op de gehackte computer kunnen bestanden worden gezet, die weer door andere cybercriminelen gebruikt worden. Het misbruiken van ruimte op de computer of website voor het uitvoeren van aanvallen op andere computers of het platleggen van websites van bedrijven of organisaties, die daar mogelijk schade door ondervinden. De hacker kan een programma op een computer installeren waardoor de computer spamberichten (agressieve reclame) gaat versturen. Op grote schaal spamberichten versturen is strafbaar. Als spam dus vanaf een andere pc afkomt, dan loopt de hacker geen groot risico om bestraft te worden. Schades veroorzaakt door hackers komen juist vaak bij kleinere ondernemingen hard aan, omdat er minder (financiële) ruimte is om klappen op te vangen.
Financiële schade Storingen in e-mail of internet, zoekgeraakte gegevens en het herstellen van de schade aan computers en netwerken ten gevolge van cybercrime zijn vaak kostbaar.
Imagoschade Bijvoorbeeld: het ongewild versturen van spam en gegevens die openbaar worden gemaakt, kunnen negatieve publiciteit creëren en het imago schaden.
Identiteitsdiefstal Identiteitsdiefstal is diefstal van persoonlijke gegevens. Vaak vindt identiteitsdiefstal plaats om financiële redenen, maar er kunnen ook andere motieven zijn voor deze vorm van criminaliteit.
Diefstal van data Denk aan administraties, offertes, e-mails en bankrekeningnummers die worden gestolen. Deze informatie kan worden gebruikt voor diefstal van geld of voor chantage. Daarnaast gebeurt het ook dat informatie wordt doorverkocht aan andere criminele organisaties of andere 'geïnteresseerden'.
8
Stappenplan digitale beveiliging
5. BEGRIPPENLIJST Cybercrime Vorm van criminaliteit die betrekking heeft op computersystemen (inclusief netwerken) DDoS-aanval DDoS staat voor Distributed denial-of-service. Aanvallen worden gepleegd vanaf meerdere computers. Er wordt geprobeerd om een computer, computernetwerk of dienst onbruikbaar te maken. Firewall Een firewall is een systeem dat een netwerk of computer kan beschermen tegen misbruik van buitenaf. Hacker Een hacker is in het dagelijks spraakgebruik meestal iemand die illegaal inbreekt in computersystemen. Er zijn echter ook goedwillende hackers, bijvoorbeeld om de beveiliging van een site te verbeteren. Infectie, virus Er wordt gesproken over een infectie wanneer een computer ten prooi is gevallen aan bijvoorbeeld een computervirus. Malware Malware is een verzamelnaam voor kwaadaardige en/of schadelijke software. Het woord is een samenvoeging van het Engelse 'malicious software'. Phishing Een verzamelnaam voor digitale activiteiten die tot doel hebben persoonlijke informatie aan mensen te ontfutselen. Phishing vindt vaak plaats per e-mail. De afzender doet zich dan voor als een betrouwbare zakenrelatie (bijv. uw bank). Poortscan Een poortscan controleert welke computer poorten er open staan voor internetverkeer. Applicaties maken gebruik van poorten om over te communiceren Social engineering Social engineering is een techniek waarbij een hacker de zwakste schakel in de beveiliging -de mens- benadert. Het doel is om vertrouwelijke of geheime informatie los te krijgen, zodat de hacker dichter bij het aan te vallen object kan komen. Spyware Spyware zijn (delen van) computerprogramma's die informatie vergaren over gebruikers en doorsturen naar een externe partij. Het doel is meestal om geld te verdienen. Trojan Een Trojan, ofwel Trojaans paard, is een functie die in een programma verborgen zit en kwaadwillenden toegang geeft tot de computer. Vector Een (aanvals)vector is de methode die malware gebruikt om zichzelf te verspreiden of een computer te besmetten.
9
Stappenplan digitale beveiliging
COLOFON Eindredactie: De Zaak
Deze PDF is tot stand gekomen in nauwe samenwerking met Spicy Lemon, distributeur in Nederland van ESET en NOD32.
Spicy Lemon Trapezium 302 3364 DL SLIEDRECHT www.spicylemon.nl
SBP BV – De Zaak Vlietsorgstraat 15 2012 JB Haarlem 023 - 553 55 00
[email protected] © SBP BV, Haarlem, december 2012 Niets van deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt worden door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook, zonder schriftelijke toestemming van de uitgever. Ondanks dat bij deze uitgave veel aandacht is besteed aan het voorkomen van fouten en onvolkomenheden, kan voor de afwezigheid daarvan niet worden ingestaan en aanvaarden auteur(s) en uitgever derhalve geen aansprakelijkheid.
10
Over De Zaak De Zaak is een betrouwbaar en inspirerend kennisnetwerk voor mkb’ers. Bij ons vindt u alle kennis die u als ondernemer nodig heeft.
Onze diensten in het kort: ADVIES Leden van De Zaak profiteren van een unieke service: telefonisch advies door ervaren adviseurs. Zij staan elke werkdag voor u klaar. Lees meer » TIJDSCHRIFT Ons tijdschrift, De Zaak, verschijnt 8 maal per jaar. Het staat vol inspirerende artikelen, interviews met topondernemers, praktische informatie, zoals checklists, tips, vragen en antwoorden en natuurlijk: de column van Ben Tiggelaar. Lees hem hier online of vraag een gratis abonnement aan »
NIEUWSBRIEF Wilt u op de hoogte blijven van het laatste ondernemersnieuws? Geef u dan op voor onze wekelijkse nieuwsbrief » WEBSITE Ga ook eens naar onze website voor de nieuwste artikelen, blogs en video’s over onder meer belastingen, de aangifte, starters, auto van de zaak, commercie, ICT en personeel. THEMAPOCKETS Onze themapockets verschijnen 6 maal per jaar en bieden informatie over alle facetten van uw bedrijfsvoering en staan vol checklists, stappenplannen en tips. Ze zijn nu ook als pdf verkrijgbaar. Leden ontvangen ze gratis. Bekijk het aanbod in onze webshop »
t u als Omdarn emer onde el moet al zoveouden... onth
Hoe u de massa mobiliseert
023 55 35 510 Voor ondernemersvragen bellen onze leden met de adviseurs van De Zaak. Voor de antwoorden trouwens ook!
Word lid! Wilt u ook gebruik kunnen maken van al deze diensten? Word dan nu lid! » Volg De Zaak ook op
Crowdfunding
juni 2012
WORKSHOPS Leden krijgen altijd € 100,- korting op workshops. U kunt zich hier aanmelden »
Crowdfunding
Is di antwtooons op al uwrd vragen :
Prijs e 8,50 excl. BTW